impacto de la ley sarbanes oxley en el sector empresarial . riesgos de tecnología

©2008 Deloitte and all related entities.

•Impacto de la Ley Sarbanes Oxley en el sector empresarial.

•Riesgos de Tecnología.

Manuel Lopezlage A.Socio – Deloitte & Touche

I Congreso de Contadores JaverianosNoviembre 8 de 2008

© Deloitte Touche Tohmatsu 2008. All rights reserved.

Agenda

• Introducción – Ley Sarbanes Oxley

• Alcance de la ley, potencial impacto en Colombia

• Riesgos de Tecnología

Introducción – Sarbanes-Oxley


Introducción-Sarbanes Oxley

EVOLUCION DEL CONTROL INTERNO

Comienzo de los años 80´sse incrementa el foco en el Control interno y el Cumplimiento

1985Reporte de la Comisión Nacional de Fraudes Financieros – Treadway Commission

1980

Década de los 70´sEscándalo e investigación del Caso “Watergate”

1977Ley de prácticas de anticorrupción en países extranjeros(EU.)

1970

1992Committee Of Sponsoring Organizations (COSO). Se publica el modelo de Control interno

Década de los 90´sSe acentúa el interés en el Control Interno, la gestión de riesgos y las responsabilidades corporativas.

1990 2000

2002Ley Sarbanes Oxley (Leyes de mercados de Capitales)

La SEC exige la constitución de comités de auditoría 2003

Creación del PCAOB (Public Company Accounting Oversight Board)

2005En Colombia con la Ley 964/05 se conforman Comités de Auditoría para compañías mercado público valores (vigiladas Superfinanciera))


Shell (Ene 2004)• Error en el registro de reservas petroleras por más

de 3.9 billones de barriles equivalentes.

– Incriminación al Presidente, Contralor y Country Manager .

– Pérdida de valor en acciones.

Enron (2001)• Registro indebido de instrumentos financieros.

– Jefrey Skillings (CEO) cadena perpetua + U$80.

– Andrew Fastow (CFO) – 10 años + U$23.8

– Lea Fastow (Tesorera) – 10 años + U$23.8

Introducción – Sarbanes Oxley Escándalos corporativos

y la lista continúa…


Título I Junta de vigilancia de contadores de compañías públicas.

Título II Independencia del Auditor

Título III Responsabilidad corporativa

Título IV Mejoras en las revelaciones financieras

Título V Análisis de conflictos de interés

Título VI Recursos y Autoridad de la Comisión

Título VII Estudios y Reportes

Título VIII Responsabilidad en fraudes corporativos

Título IX Refuerzo en castigos a delitos de cuello blanco

Título X Impuestos sobre ingresos corporativos

Título XI Fraude y Responsabilidad (autoridades)

Introducción – Sarbanes Oxley Títulos de la Ley


Asigna al CEO (Presidente) y CFO (VP. Financiero) la responsabilidad por establecer, mantener, evaluar e informar (base trimestral y anual) que se han evaluado la efectividad de los controles de revelación, y han revelado a su Junta Directiva y Comité de Auditoría deficiencias significativas en controles y/o fraudes.S

ecci

ón

302

Sec

ció

n 9

06

Exige al CEO y CFO, anualmente, declarar su responsabilidad de establecer, mantener y evaluar la estructura de control interno (modelo tipo COSO) y procedimientos de reporte financiero.

Exige al Auditor Externo emitir una opinión sobre el control interno sobre el reporte financiero

Sec

ció

n 4

04

El no cumplimiento impone multas y/o sanciones penales hasta por US$5 millones y 240 meses de prisión, en caso de existir conocimiento y dolo por parte de los ejecutivos.

Introducción – Sarbanes Oxley Algunas secciones clave


SEC PCAOB

Compañías

en la Bolsa

Firmas

Auditoras

Securities Exchange

Commission Public Company

Accounting Oversight Board

Registrados

Regulación

Aplicación

COSO

Recomendación

Committee of

Sponsoring

Organizations

Define estándares de auditoría, control de calidad y éticos y logra su cumplimiento(vigilancia y control)

Vigilancia

y control

Recomienda sobre control de calidad y estándares éticos

Recomendaciones sobre Control Interno

AICPAAmerican Institute

of CPAs

Miembros

Representa US Profesión contable

Registrados Define requerimientos de reporte y revisión

de revelaciones

Introducción – Sarbanes-Oxley Quiénes participan?


Introducción – Sarbanes-Oxley Las Cuatro Bases de la Ley

Resalta la responsabilidad de la Entidad sobre los Reportes Financieros y el Control Interno

• Control Interno

• Control de Revelaciones

• Otras responsabilidades

Fortalecimiento de Gobierno Corporativo a través de la implementación de un Comité de Auditoría• Vigilancia

• Miembros del Comité de Auditoría independientes y calificados

• Responsabilidades del Comité de Auditoría

Instalación del Public Accounting Company Oversight Board (PCAOB)

• Misión del PCAOB

• Tareas del PCAOB

• Tareas de las firma de auditoría registradas

Nuevas reglas en el control de calidad de la auditoría y la independencia del auditor• Estándares de Control de Calidad de la

Auditoría

• Estándares de Auditoria en la Ley

• Prohibición de la prestación de ciertos servicios

La Perspectiva Corporativa sobre SOX La Perspectiva del Auditor sobre SOX

Inst

itu

cio

nes

Reg

las/

Res

po

nsa

bil

idad

es


• El Informe COSO* sobre control interno tiene una importancia enorme básicamente por dos hechos:

Ope

racion

es

Repor

te

Fina

ncie

ros

Cum

plim

ient

o

Monitoreo

Información &Comunicación

Actividades de Control

Evaluación de Riesgos

Ambiente de Control

Div

isió

nU

nid

ad

de N

eg

ocio

sEn

tid

ad

Leg

al

Pro

cesos

Acti

vid

ad

es

Introducción – Sarbanes-Oxley Modelo COSO – Cinco componentes

COSO* Internal Control-Integrated Framework, Committee of Sponsoring Organizations (COSO) of the Treadway Commission

• Incorporó en una sola estructura conceptual los distintos enfoques existentes a nivel mundial y generó un consenso para solucionar las múltiples dificultades que originaban confusión entre la gente de negocios, los legisladores, los reguladores y otros.

• Actualizó la práctica del control interno, lo mismo que los procesos de diseño, implantación y evaluación.


Introducción – Sarbanes-Oxley Modelo COSO –

Cinco componentes

Ope

racion

es

Repor

te

Fina

ncie

ros

Cum

plim

ient

o

Monitoreo




Ambiente de Control

Div

isió

nU

nid

ad

de N

eg

ocio

sEn

tid

ad

Leg

al

Pro

cesos

Acti

vid

ad

es

Ambiente de control

•Establece el tono de una organización para influenciar la conciencia de control de su gente.

•Incluye factores como integridad, ética, valores, competencia, autoridad, responsabilidad.

•Es el fundamento para los otros componentes de control.


Ope

racion

es

Repor

te

Fina

ncie

ros

Cum

plim

ient

o

Monitoreo




Ambiente de Control

Div

isió

nU

nid

ad

de N

eg

ocio

sEn

tid

ad

Leg

al

Pro

cesos

Acti

vid

ad

es

Evaluación de riesgos

Es la identificación y análisis de riesgos relevantes para la consecución de los objetivos como base para determinar cómo se deben administrar los riesgos.


Cinco componentes


Ope

racion

es

Repor

te

Fina

ncie

ros

Cum

plim

ient

o

Monitoreo




Ambiente de Control

Div

isió

nU

nid

ad

de N

eg

ocio

sEn

tid

ad

Leg

al

Pro

cesos

Acti

vid

ad

esActividades de control

•Políticas y procedimientos que ayudan a asegurar que las directivas administrativas se llevan a cabo.

•Incluyen un rango de actividades diversas como aprobaciones, verificaciones, conciliaciones, recomendaciones, seguridad de activos y segregación de funciones.


Cinco componentes


Ope

racion

es

Repor

te

Fina

ncie

ros

Cum

plim

ient

o

Monitoreo




Ambiente de Control

Div

isió

nU

nid

ad

de N

eg

ocio

sEn

tid

ad

Leg

al

Pro

cesos

Acti

vid

ad

es

Información y comunicación

•Representa el proceso por medio del cual se asegura que la información relevante es identificada y comunicada de manera adecuada y oportuna.

•Acceso a la información generada interna y externamente.

•Flujo de información que permita acciones de control efectivas desde instrucciones en responsabilidades hasta resumir hallazgos para manejar acciones.


Cinco componentes


Ope

racion

es

Repor

te

Fina

ncie

ros

Cum

plim

ient

o

Monitoreo




Ambiente de Control

Div

isió

nU

nid

ad

de N

eg

ocio

sEn

tid

ad

Leg

al

Pro

cesos

Acti

vid

ad

es

Monitoreo

•Es el proceso que evalúa la calidad del desarrollo del control interno en el tiempo, mediante una evaluación continua de los controles, tomando las acciones correctivas necesarias.


Cinco componentes

Alcance y potencial impacto de la Ley.


La ley SOX: Alcance e ImpactoEfecto en General

• Compañías SEC y sus subsidiarias Colombianas

• Gerencia (CEO y CFO)

• Juntas directivas y Comités de Auditoría

• Auditores

• Abogados

• Bancos de inversión / Analistas de valores

• Reguladores

• Inversionistas

• Público en general


• Nuevas responsabilidades para los comités de auditoria y la gerencia

• Nuevos requerimientos de revelación de información

• Define servicios del auditor no permitidos a clientes auditados

• Endurece penas por fraude corporativo

• Aumento significativo de autoridad y funciones de la SEC

• Creación del PCAOB con autoridad para inspeccionar, investigar y sancionar a las firmas de auditores

• Autoridad para establecer y adoptar normas de auditoria, ética, control de calidad e independencia

La ley SOX: Alcance e ImpactoEfecto en General


La ley SOX: Alcance e ImpactoEfecto en la alta Gerencia

• El CEO y CFO deben certificar en informes anuales y trimestrales (Como mínimo) que:

• Han revisado los informes y estados financieros

• No conocen de información falsa u omitida

• Los estados financieros representan razonablemente hechos económicos reales

• Tienen responsabilidad de establecer y mantener controles internos efectivos

• Han revelado a auditores y al comité de auditoría deficiencias de control interno y fraudes

• Han revelado cambios en el sistema de control interno


La ley SOX: Alcance e ImpactoEfecto en auditores

• Fortalecimiento del control de calidad del trabajo

• Siete años de retención de papeles de trabajo

• Auditoria sobre el sistema de control interno

• Revisión concurrente efectiva

• Las normas se extienden a firmas colombianas que tengan participación importante en la auditoria de Compañías que les aplique la Ley

• Relación directa de reporte con un fortalecido comité de auditoria

• Rotación de equipos de trabajo


Conclusiones.


Conclusiones

• Responsabilidades en fraudes corporativos (estados financieros, activos).

• Cambio en los roles y responsabilidades de la Administración, de las Juntas Directivas, de los Comités de Auditoría y de los Auditores.

• Multas y sanciones penales para los administradores y los auditores.

• Mayor regulación por parte de las Entidades de Control.

• Mejoras en las revelaciones de información.

• Nuevas reglas en el control de calidad de la auditoría y la independencia del auditor.

• Mayor transparencia en la actuación de los administradores.


Riesgos de tecnología.


Riesgos de TecnologíaTendencias Actuales

• Se ha hecho indispensable el uso de la tecnología en todas las actividades del mundo actual.

• Las organizaciones requieren comprender la nueva tecnología y buscar el equilibrio entre sus necesidades, la capacidad de inversión y la administración de los riesgos que ésta le genera.


Competencia global

Reestructuración de las organizaciones

Obtención de ventajas competitivas

Automatización de las funciones en las Organizaciones

Incorporación de herramientas de control más poderosas de tecnología informática (Hardware – Software)

Comprender la tecnología de controles y su naturaleza cambiante (Especialistas en sistemas – Auditores)

Riesgos de TecnologíaTendencias Actuales


• Los riesgos informáticos, tienen impacto en las organizaciones a todo nivel. Los principales riesgos de tecnología que pueden impactar a las Organizaciones son:

Riesgos de TecnologíaIntroducción a los Riesgos Informáticos

– Acceso– Disponibilidad– Integridad– Infraestructura– Información relevante


• Los riesgos informáticos pueden ocasionar:

Riesgos de TecnologíaIntroducción a los Riesgos Informáticos

– Suspensión de operaciones de la organización

– Pérdida de clientes (servicio deficiente)– Fraudes– Estados financieros que no reflejan la

realidad económica– Pérdidas– Información no confiable y oportuna para

toma de decisiones


Riesgos de TecnologíaRiesgo en la Era de la Informática

Presión en las organizaciones

Cambios

Riesgos

Impacto


• Satisfacer las necesidades del negocio con soluciones de tecnología informática, efectivas en función de su costo

• Mejorar el desempeño de la organización y la administración de los costos

• Mejorar la flexibilidad y la capacidad de respuesta al cambio

• Lograr ventajas estratégicas

• Entregar una cantidad mayor de productos, de mejor calidad, con mayor rapidez y mejor precio

• Evitar riesgos significativos

Riesgos de TecnologíaPresión en las Organizaciones


• Implementar nuevos sistemas y redefinir los procesos del negocio

• Adoptar nuevas tecnologías

• Distribuir y consolidar en forma simultánea los procesos y los recursos de la tecnología informática

Riesgos de TecnologíaLas presiones conducen al cambio


Riesgos

Fraude, abuso, mal manejo Gastos excesivos Pérdida de utilidades y clientes Problemas de integridad

Oportunidades

Servicio al cliente Expansión del negocio Mayores utilidades Control de operaciones

Riesgos de TecnologíaLos cambios generan Oportunidades y Riesgos


• Necesidad de lograr ventajas competitivas en el negocio, a través de la tecnología.

Riesgos de TecnologíaImpacto General en la Organización

• Mayor dependencia de las organizaciones en la calidad y funcionamiento de sus sistemas de información.

• Nuevos riesgos de error o fraudes derivados de la aplicación de nuevas tecnologías de información.

• Necesidad de evaluar y controlar, con independencia, las grandes inversiones en el área de Tecnología Informática.

Manuel Lopezlage Socio de Deloitte & Touche

33

impacto de la ley sarbanes oxley en el sector empresarial . riesgos de tecnología

Documents

all rights reserved

ley deloitte touche

control de calidad

oxley modelo coso

sarbanes oxleyevolucion

internal control

control internocomienzo

oxley chart